欧盟通用数据保护条例GDPR.docx数据摘要
导读:GDPR通用数据保护条例中文版由中国政法大学互联网金融法律研究院组织翻译,
新法案由11章共99条组成。
GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。 GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚,以及对我国与数据相关的法学研究都具重要意义。
新法案由11章共99条组成, 。
General Data Protection Regulation(GDPR)
欧盟通用数据保护条例GDPR
2016年4月14日欧盟会议通过,2018年5月25日正式实行
目录列表
本文目录
目录
第一章 一般规定 3
第1条主题与目标 3
第2条适用范围 3
第3条地域范围 4
第4条定义为本法之目的: 4
第二章 第二章原则 7
第5条 与个人数据处理相关的原则 7
第6条处理的合法性 8
第7条同意的要件 9
第8条关于信息社会服务适用于儿童同意的条件 9
第9条特殊种类的个人数据处理 10
第10条有关刑事定罪和罪行的个人数据的处理 11
第11条无需认证的处理 11
第三章 第三章数据主体权利 12
第一节 第一节信息透明度和信息机制 12
第12条数据主体行使权利的透明度、交流和模式 12
第二节 第2节个人数据信息和获取 13
第13条数据主体收集的个人数据的提供 13
第14条并非从数据主体处获取的个人数据的提供 14
第15条数据访问权 16
第16条纠正权 17
第17条擦除权(被遗忘权) 17
第18条限制处理权 18
第19条关于纠正或删除个人数据或限制处理的通知义务 18
第20条反对权 19
第三节 第四节拒绝权和自主决定权 19
第21条拒绝权 19
第22条自主化的个人决策,包括分析 20
第四节 第五节限制 21
第23条限制 21
第四章 第四章控制者和处理者 22
第一节 第一节基本义务 22
第24条控制者的义务 22
第25条通过设计和默认的数据保护 22
第26条联合控制者 23
第27条未在联盟中设立的控制者或处理者的代理人 23
第28条处理者 24
第29条在控制者或处理者的权限下处理 25
第30条处理活动的记录 25
第31条和监督机构的合作 26
第32条处理过程的安全性 26
第33条监管机构对个人数据泄露的通知 27
第34条关于数据主体的个人数据交流 27
第二节 第二节呢?? 28
第三节 第三节据保护影响评估以及事先咨询 28
第35条数据保护影响评估 28
第36条事先咨询 29
第四节 第四节数据保护局 30
第37条数据保护局人员的指派 30
第38条数据保护人员的地位 31
第39条数据保护人员的任务 31
第五章 第5章行为法规和认证 32
第40条行为法规 32
第41条为法规的合法性监控 34
第42条认证 34
第43条认证主体 35
第六章 第五章个人数据向第三国或者国际组织的传输 36
第44条传输的一般原则 36
第45条基于充分决定的数据传输 36
第七章 第六章独立的监管机构 37
第八章 第7章合作与协调 38
第九章 第八章救措施,责任以及处罚 40
第十章 第九特定数据处理情形下的相关规定 41
1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。
2. 本法保护自然人的基本权利和自由,尤其是自然人的个人数据保护权。
3. 不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。
1. 本法适用于完全或部分以自动方式对个人数据的处理,构成或拟构成整理汇集系统一部分的自动方式除外。
2. 本法不适用于以下个人数据的处理:
(a) 发生在联盟法律范围之外的活动过程中;
(b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时;
(c) 由自然人在纯粹的个人或家庭活动的过程中;
(d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪,执行的刑事处罚的目的,包括防范和阻止公共安全受到威胁。
3. 欧盟机构、委员会、办事处和专业行政部门(代理机构)处理个人数据,适用第45/2001号条例。
根据本法第98条,处理个人数据适用第45/2001号条例和其他联盟法律法规的,应当符合本法的原则和规则。
4. 本法不影响2000/31 / EC指令的适用,特别是该指令第12条至第15条中的中间服务提供商的责任规则。
1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。
2. 本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:
(a) 发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或
(b) 是对数据主体发生在欧盟内的行为进行的监控的。
3. 本法适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。
(1) “个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
(2)“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁,无论此操作是否采用自动化的手段。
(3)“处理限制”是指对已存储的个人数据的标识,用于在将来限制他们的处理行为;
(4)“剖析”是指为评估与自然人相关的某些个人情况,对个人数据进行任何自动化处理、利用的方式,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信度、习性、位置或行踪相关的分析和预测。
(5)“匿名化”是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。
(6)“整理汇集系统”是一种依照特定标准,如集中、分散或功能分布或地域基准存取个人数据的结构化集合。
(7)“控制者”是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式,以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定。
(8)“处理者”是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
(9)“接收者”是指接收到被传递的个人数据的,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。但是,政府因在欧盟或其成员国法律框架内特定调查接收到个人数据的,不得被视为“接收者”;政府处理这些数据应当根据数据处理的目的,遵循可适用的数据保护规则。
(10)“第三方”是指数据主体、控制者、处理者以及在控制者或处理者直接授权处理个人数据者以外的自然人、法人、公共机构、行政机关或其他非法人组织。
(11)数据主体的“同意”是指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明确的指示。通过声明或明确肯定的行为作出的这种指示,意味着其同意与他或她有关的个人数据被处理。
(12)“个人数据外泄”是指个人数据在传输、存储或进行其他处理时的安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。
(13)“基因数据”是指与自然人先天或后天的遗传性特征相关的个人数据。这类数据传达了与该自然人生理机能或健康状况相关的独特信息,并且上述数据往往来自于对该自然人生物样本的分析结果。
(14) “生物识别数据”是通过对自然人的物理、生物或行为特征进行特定的技术处理的得到的个人数据。这类数据生成了那个自然人的唯一标识,比如人脸图像或指纹识别数据。
(15)“有关健康的数据”是指与自然人身体或精神健康有关的个人数据,包括能揭示关于他或她的健康状况的健康保健服务所提供的数据。
(16) “主营业地”意味着:
(a)对于营业机构在多个成员国的的控制者,除非控制者在欧盟内的另一个营业机构能够决定并有能力贯彻个人数据的处理目的和方式,否则其在欧盟内的主要管理者所在地被视为主营业地。
(b) 对于营业机构在多个成员国的处理者,其在欧盟内的主要管理者所在地,在本法下承担特定义务;如果处理者在欧盟内没有主要管理者,在处理者的营业机构的营业范围内进行主要处理行为的营业地,在本法下承担特定义务。
(17) “代表”指由控制者和处理者依照第27条书面指定的,代表控制者和处理者分别履行本法规定的义务的欧盟内的自然人、法人。
(18) “企业”是指参与经济活动的自然人或法人,无论其为何种组织形式,可以包括合伙或经常性参与经济活动的协会。
(19) “企业团体”是指一个管控性的企业以及受其管控的企业群。
(20) “约束性企业规则”是指成员国领土上的控制者和处理者通过事业集团或企业集团进行的联合经济活动,而致个人数据传输或系列传输到一个或多个第三方国家的控制者或处理者时必须遵循的个人数据保护政策。
(21) “监管机构”是指一个独立的,由成员国依据第51条设立的公权力机构。
(22) “有关监管机构”是与人数据处理有关的监管机构,因为:
(a) 控制者或处理者是建立在监管机构所在的成员国领土上的;
(b) 居住在监管机构所在成员国的数据主体被或可能被处理行为严重影响;或
(c) 一个由监管机构提交的申诉;
(23)“跨境处理”是指以下情形之一:
(a) 个人数据处理发生在一个欧盟内的设立在多个成员国的控制者或处理者在多个成员国的营业机构的活动中。
(b) 个人数据的处理发生在一个欧盟内的控制者或处理者的唯一营业机构的活动中,但是这种处理严重影响或可能会严重影响多个成员国的数据主体。
(24) “相关与合理异议”是指一种关于是否存在违反本法情况,或是控制者或处理者是否存在遵守本法的预设行为的异议。这个异议清晰地表明了有关数据主体的基本权利和自由的决议草案所造成的风险的重要影响,以及此种异议也适用于欧盟内的个人数据自由流动。
(25) “信息社会服务”是指欧洲议会和理事会的指令(欧盟)2015/1535 的第一条(1)款的(b)项中定义的服务。
(26) “国际组织”是指依照国际公法设立的组织及其下属机构,或依据或以两个或更多国家之间达成的协议为基础建立的其他机构。
1. 个人数据应:
(a) 以合法、公正、透明的方式处理与数据主体有关的(“合法性、公平性和透明性”);
(b) 为特定的、明确的、合法的目的收集,并且不符合以上目的不得以一定的方式进行进一步的处理;为公共利益、科学,或历史研究目的,或统计目的而进一步处理,按照第89条第(1)款,不应被视为不符合初始目的(“目的限制”);
(c) 充分、相关以及以该个人数据处理目的之必要为限度进行处理(“数据最小化”);
(d) 准确,必要,及时;为了个人数据被毫不延迟地处理、删除或修正的目的,必须采取一切合理的步骤确保个人数据是不精确的(“精度”);
(e) 在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;为了保护数据主体的权利和自由,依据第89条(1)予以实施本法所要求的适度的技术和组织措施,只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理,个人数据能被长时间存储(“存储限制”)。
(f) 以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”)。
2. 控制者应该负责,并能够证明符合第一项(“问责制”)。
1. 只有在适用以下至少一条的情况下,处理视为合法:
(a)数据主体同意他或她的个人数据为一个或多个特定目而处理;
(b)处理是为履行数据主体参与的合同之必要,亦或处理是因数据主体在签订合同前的请求而采取的措施;
(c)处理是为履行控制者所服从的法律义务之必要;
(d)处理是为了保护数据主体或另一个自然人的切身利益之必要;
(e)处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;
(f)处理是控制者或者第三方为了追求合法利益的之必要,但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外,尤其是数据主体为儿童的情形下。
前第一款(f)项不适用于政府当局在履行其职责时进行的处理。
2.成员国可以维持或引入更具体的规定来适应本法关于处理的条款应用,通过设定包括在第九部分中规定的其他具体处理情形,设定更准确具体的处理要求和其他措施来确保合法和公平的处理,以遵守第一款的(c)项和(e)项,
3.第一款的(c)项和(e)项所指的处理的依据如下:
(a)欧盟法律;或
(b)控制者所属的成员国法律。
处理的目的应当依据法律确定,或者根据第一款(e)项中所指之处理,即应当为了执行公共利益领域的任务或行使控制者既定的公务职权之必要。法律依据可以包括具体条款以此来适应本法条款的应用,特别是:调整控制者处理合法性的一般条件;被处理的数据类型;与数据主体相关的;个人数据可能被披露的实体和目的;目的限制;存储期限;以及处理操作和处理程序,包括确保合法和公平处理的措施,诸如那些在第九部分提及的其他具体处理情况。欧盟或成员国法律应当符合公共利益的目标以及与追求的正当目标相称。
4. 当处理不是为了个人数据被收集时的那个目的,并且这个目的不是基于数据主体的同意,亦非基于在民主社会构成一个必要且适当措施来保障第23条(1)款所指之目标的欧盟或成员国法律,控制者应当为了查明为其他目的进行的处理是否与个人数据最初被收集时的目的相一致而考虑,特别是:
(a)任何在个人数据被收集时的目的和预期进一步处理的目的之间的联系;
(b)个人数据被收集时的情形,尤其是关于数据主体和控制者的关系的;
(c)个人数据的性质,尤其不管是依据第9条被处理的特殊类别的个人数据,还是依据第10条与刑事定罪和罪行有关的个人数据;
(d)预期进一步处理给数据主体可能造成的后果;
(e)适当的可能包括加密或匿名化的保障措施的存在。
1. 如处理是基于同意,则控制者应能证明数据主体已经同意处理他或她的个人数据。
2. 如数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分,均不具约束力。
3. 数据主体有权随时撤回他或她的同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前,数据主体应被告知上述权利。撤回同意应与作出同意同样容易。
4. 当评估同意是否是自由作出时,应尽最大可能考虑,还应考虑合同的履行,包括服务的提供是否是基于对履行合同不必要的个人数据的同意。
1. 如适用第6条第1款(a)项,关于直接向儿童提供信息社会服务的,对16周岁以上儿童的个人数据的处理为合法。儿童未满16周岁时,处理只有在征得父母责任的主体同意情形下,或授权儿童同意的范围内合法。
如低龄不低于13周岁,则成员国可以通过法律为那些目的向低龄提供。
2. 考虑到现有技术,控制者应当作出合理的努力,去核实在此种情况下,父母责任的主体同意或授权。
3. 第1款不应影响成员国的一般合同法律,诸如与儿童有关的合同效力、构成或实行。
1.对揭示种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康、自然人的性生活或性取向的数据的处理应当被禁止。
2.如果符合以下情形,则第1款不适用:
(a) 数据主体对以一个或数个特定目的对上述个人数据的处理给予了明确同意,但依照欧盟或者成员国的法律规定,第1款规定的禁止情形不能被数据主体援引的除外。
(b)数据处理为实现控制者或数据主体在工作、社会保障以及社会保障法的范畴内履行义务、行使权利之目的,则是必要。应当在欧盟或成员国的法律认可下,或者依据成员国对数据主体的基本权利和利益提供适当的保障的法律规定订立的集体协议的范围内实施。
(c) 数据处理是对于保护数据主体或另一个自然人的切身利益之必要,但数据主体物理上或法律上无法给予同意时;
(d) 数据处理是由政治、哲学、宗教、工会性质的协会、组织或其他非营利组织在有适当安全保障的合法活动中实施的,处理应当仅仅与该组织的成员或前成员或与该组织依组织宗旨为联系的定期联系人相关,并且相关个人数据未经数据主体同意不得向组织外的人披露。
(e) 处理被数据主体明显地公开的个人数据;
(f) 数据处理为合法诉求的成立、行使或辩护或者法庭司法权的行使之必要;
(g) 为了实质的公共利益,数据处理是必要的。依据欧盟或者成员国的法律,追求该目的是适当的,应当尊重数据保护的基本权利,应当提供适当、特定的措施来保障数据主体的基本权利和利益;
(h) 为实现以下目的,数据处理是必要的。为了预防医学和职业医学,为了雇员的工作能力评估,医疗诊断,提供卫生社会保健或治疗或卫生社会保健体系以及服务的构建,应当依据欧盟或成员国的法律或者依据与保健专业人士的合同,并且遵守第3款要求的条件和保障。
(i) 在公共健康的领域为了公共利益的考量,对于特定专业秘密的数据处理是必要的。譬如,抵御严重的跨境卫生威胁,确保卫生保健、药品或医疗器械高标准的质量和安全,依据联盟或成员国的法律规定以适当的、特定的措施来保障数据主体的权利与自由;
(j) 为了公共利益、科学或历史研究的目的,或者统计的目的,依照第89条第(1)款基于联盟或者成员国的法律,追求该目的是适当的,应当尊重数据保护的基本权利,应当提供适当、特定的措施来保障数据主体的基本权利和利益。
3.为实现第2款(h)项中的目的,第1款中的个人数据可能被处理,那些数据应当被一个依据欧盟或者成员国的法律或国家法定机构制定的规则负有保守专业秘密的义务的专业人士处理,或者说这是他的责任;或者由另一个同样依据欧盟或者成员国的法律或国家法定机构制定的规则遵守保密义务的人处理。
4. 成员国可以保持或者引进进一步的条件,包括指向基因数据、生物特征数据或者健康数据的个人数据处理的限制。